从 458 亿到 357 亿，百亿资金逃离 Aave！DeFi 借贷龙头要倒了？深度拆解 rsETH 攻击事件！

原文作者：加密播客

原文来源：https://www.youtube.com/embed/uXU1EDWDKLE

2026 年 4 月 18 日凌晨，KelpDAO 的 LayerZero 跨链桥遭到攻击，攻击者利用消息层配置缺陷，非法铸造了约 116,500 枚 rsETH（价值约 2.92 亿美元），并将这些伪造代币存入 Aave V3 作为抵押品，借走了大量 WETH，随后将部分 rsETH 直接卖出。KelpDAO 在攻击发生 46 分钟后紧急暂停了多签合约，冻结了相关流动性池与代币，阻止了进一步损失，但已造成的伤害无法挽回——攻击者共获得约 106,466 ETH，价值约 25 亿美元。问题的关键在于，KelpDAO 暂停 rsETH 合约后，作为 Aave 抵押品的 rsETH 变得无法交易和定价，导致相关借款头寸无法被有效清算，损失实质上转移到了 Aave 的 WETH 准备金上。市场估算 Aave 面临的坏账规模约为 1.77 亿至 2 亿美元，具体取决于解决方案。DefiLlama 创始人 0xngmi 给出了三种可能的处置路径：一是损失社会化分摊，用户承担约 18.5% 的减值，保险与国库可覆盖部分后仍有约 7600 万美元缺口；二是对二层网络上的 rsETH 持有者做“Rug Pull”式处理，可能造成 3.41 亿美元坏账；三是按攻击前快照返还资产，保险覆盖后仍有约 9100 万美元损失。Aave 的安全模块持有约 3 亿美元的 AAVE 代币，可作为一种最后保障，但动用它会直接削减代币，可能引发治理代币抛压和共识稀释。 恐慌情绪迅速蔓延，资金从 Aave 持续流出。最初流出规模约为 54 亿至 66 亿美元，到了 4 月 20 日，累计流出已达 101 亿美元，总存款从 458 亿美元骤降至 357 亿美元，其中稳定币流出 45 亿美元。仅 4 月 19 日单日就有约 66 亿美元撤离，这种速度在 DeFi 借贷史上极为罕见。稳定币流动性池因此极度紧张，USDT 和 USDC 的存款利率在事件后迅速攀升至 13.4% 并维持了整整 24 小时以上，借款利率一度飙升至 15%，这相当于协议发出了严重流动性枯竭的警报——可供出借的稳定币资本几乎被耗尽，只能靠超高利率吸引新存款。AAVE 代币在 24 小时内下跌超过 18%，协议 TVL 从约 263.96 亿美元跌至约 198 亿美元。代币价格下跌与坏账压力形成负向循环：安全模块若被迫动用，AAVE 代币被削减将进一步打压价格，削弱保护能力。 这场危机并不仅限于 Aave。全行业头部借贷协议均出现资金净流出，Morpho 流出 7.16 亿美元，Sky 流出 2.72 亿美元，JupLend 流出 7600 万美元，整个 DeFi TVL 蒸发近 100 亿美元。一个关键节点的失败引发了对整个系统稳健性的信任危机。与此同时，资金开始向其他协议迁徙。Spark 成为最大赢家，其 ETH 存款利率一度飙升至 130%，事件 48 小时后仍维持在 18% 左右。Spark 早在 1 月就已将 rsETH 从抵押品列表中剔除，并维持了较高的最大借款利率，这种前瞻性风险管理使其在此次危机中展现出“反脆弱性”。知名投资者孙宇晨也从 Aave 紧急撤出 65,584 枚 ETH（约 1.54 亿美元），将其中大部分存入 Spark，进一步放大了竞争对手的受益。 从更深层次看，此次事件暴露了 DeFi 的两个结构性脆弱点：跨链桥的安全性和流动性再质押代币（LRT）的风险传导机制。跨链桥多次成为攻击目标，此次 LayerZero 消息层配置缺陷再次验证了这一风险敞口。而 LRT 作为复杂的多层衍生品，任何底层再质押策略的漏洞或预言机定价失效，都会通过借贷协议被放大为系统性危机。Aave 采用的统一流动性模型虽然提高了资本效率，但也带来了风险集中效应——当风险信号出现时，每个理性用户的最佳选择都是立即退出，而这恰恰加速了流动性危机的爆发。此外，AI 驱动的攻击正在加速，研究显示利用漏洞的能力大约每 1.3 个月翻倍，而 AI 安全代理在发现智能合约漏洞方面已优于标准代码代理，这意味着防御技术必须尽快跟上。 对于投资者而言，短期需关注坏账处置方案的选择、Umbrella 安全模块的动用方式、Aave 各市场利用率指标以及 AAVE 代币价格走势。中期来看，DeFi 借贷协议的风险溢价将面临重定价，抵押品审核标准将收紧，跨链桥与再质押项目的审计要求将提升，用户对隔离借贷和模块化架构的需求可能增加，协议保险与风险准备金的设计也将成为新的竞争维度。建立系统的风险管理框架——包括协议依赖关系图谱、抵押品质量评估、紧急退出预案和多协议分散配置——将是 DeFi 参与者的必修课。 此次事件是对 DeFi 底层的一次极限压力测试。Aave 的核心智能合约并未被直接攻破，安全模块正在接受实战检验，但信任的修复需要时间。正如 DefiLlama 创始人所说，“这类事件里没人是赢家，只会让整个行业的‘蛋糕’缩小，所有人都受损”。未来的 DeFi 生态，将在安全与效率之间寻找新的平衡点。